关键信息 漏洞类型: Stored XSS 影响: 导致管理员账户被接管 严重性: 高 CVSS v3 Base Score: 7.3 CVE ID: CVE-2026-23880 影响版本与修复 受影响版本: Before 136a61c221537208ed4d48512ff55dd844acb2cc 修复版本: After 1d32081a66f21bcf41df1ecb672490b13f6e429f 漏洞详情 描述: 管理员在迁移用户Discord账户时,存在存储型XSS漏洞。 代码缺陷: 在/admin/get_by_snowflake/?discord_id={my discord ID} 路由中,不安全地渲染用户的名字和姓氏,且是用于迁移Discord账户的端点。 攻击方法: 通过设置含有XSS载荷的名字和姓氏,当管理员尝试迁移账户时,首次渲染的名字和姓氏会触发XSS。 严重性指标 CVSS v3 Base Metrics - Attack Vector: Network - Attack Complexity: Low - Privileges Required: Low - User Interaction: Required - Scope: Unchanged - Confidentiality: High - Integrity: High - Availability: None 弱点 CWE-20 CWE-79 CWE-116 Impact Underprivileged账户利用漏洞导致管理员账户被接管。